在使用腾讯云容器服务(Tencent Kubernetes Engines,TKE)的过程中,为了能够使用相关云资源,会遇到多种需要进行服务授权的场景。每种场景通常对应不同的角色所包含的预设策略,其中主要涉及到
TKE_QCSRole 和 IPAMDofTKE_QCSRole 两个角色。本文档接下来将分角色展示各个授权策略的详情、授权场景及授权步骤。说明:
TKE_QCSRole 角色
开通容器服务后,腾讯云会授予您的账户
TKE_QCSRole 角色的权限。该容器服务角色默认关联多个预设策略,为获取相关权限,需在特定的授权场景下执行对应的预设策略授权操作。操作完成之后,对应策略会出现在该角色的已授权策略列表中。TKE_QCSRole 角色关联的预设策略包含如下:默认关联预设策略
QcloudAccessForTKERole:容器服务对云资源的访问权限。QcloudAccessForTKERoleInOpsManagement:日志服务等运维管理。其他关联预设策略
QcloudAccessForTKERoleInCreatingCFSStorageclass:容器服务操作文件存储(CFS)权限,包含增删查文件存储文件系统、查询文件系统挂载点等。QcloudCVMFinanceAccess:云服务器财务权限。预设策略 QcloudAccessForTKERole
授权场景
授权步骤
1. 登录 容器服务控制台,选择左侧导航栏中的集群,弹出服务授权窗口。
2. 单击同意授权,完成身份验证后即可成功授权。如下图所示:
权限内容
预设策略 QcloudAccessForTKERoleInOpsManagement
授权场景
该策略默认关联
TKE_QCSRole 角色,开通容器服务并完成 TKE_QCSRole 角色授权后,即可获得包含日志在内的各种运维相关功能的权限。授权步骤
权限内容
预设策略 QcloudAccessForTKERoleInCreatingCFSStorageclass
授权场景
使用腾讯云文件存储(CFS)扩展组件,能够帮助您在容器集群中使用文件存储。首次使用该插件时,需通过容器服务进行文件存储中文件系统等相关资源的授权操作。
授权步骤
1. 登录 容器服务控制台,单击左侧导航栏中集群。
2. 在集群管理页面,选择地域及集群后,进入集群详情页。
3. 选择左侧导航中的组件管理,在组件管理页面单击新建。
4. 在新建组件管理中,当扩展组件首次选择为 “CFS(腾讯云文件存储)” 时,单击页面下方的服务授权。如下图所示:
5. 在服务授权中,单击同意授权并完成身份验证即可成功授权。
权限内容
预设策略 QcloudCVMFinanceAccess
授权场景
当您需要购买包年包月云硬盘时,需要为角色
TKE_QCSRole 添加该策略以配置支付权限,否则可能会因为没有支付权限导致创建基于包年包月 storageclass 的 PVC 失败。授权步骤
1. 登录访问管理控制台,选择左侧导航栏的 角色。
2. 在角色列表页面中,单击 TKE_QCSRole 进入该角色管理页面。
3. 选择 TKE_QCSRole 页面中的关联策略,并在弹出的风险提醒窗口中进行确认。
4. 在关联策略中,找到
QcloudCVMFinanceAccess 策略并勾选。如下图所示:
5. 单击确定即可完成授权。
权限内容
IPAMDofTKE_QCSRole 角色
IPAMDofTKE_QCSRole 角色为容器服务的 IPAMD 支持服务角色。被授予该角色的权限后,在本文描述的授权场景下需进行预设策略关联操作。完成操作后,以下策略会出现在该角色的已授权策略列表中:QcloudAccessForIPAMDofTKERole:容器服务 IPAMD 支持(TKE IPAMD)对云资源的访问权限。预设策略 QcloudAccessForIPAMDofTKERole
授权场景
在首次使用 VPC-CNI 网络模式创建集群时,需要首先对容器服务 IPAMD 支持(TKE IPAMD)对云资源的访问权限进行授权,以便能够正常使用 VPC-CNI 网络模式。
授权步骤
1. 登录 容器服务控制台,单击左侧导航栏中集群。
2. 单击集群列表上方的新建。
3. 在创建集群页面,找到网络配置 > 容器网络插件,选择 VPC-CNI 时,单击服务授权。如下图所示:
4. 在服务授权中,单击同意授权并完成身份验证即可成功授权。
